Standards für mehr Sicherheit

Mit 6 Fragen zur sicheren IT-Architektur

Eine sichere und effiziente Sicherheitsarchitektur zu gestalten, ist eine Herausforderung. Deshalb muss eine Sicherheitsbetrachtung das gesamte Unternehmen in den Fokus rücken, bevor Entscheidungen über den Handlungsbedarf getroffen werden können.

Um Klarheit und ein gemeinsames Verständnis des Begriffs Sicherheitsarchitektur zu finden, helfen Standards wie etwa die ISO/IEC 27000-Reihe für Informationssicherheits-Management oder das SABSA-Framework (Sherwood Applied Business Security Architecture). Beide unterscheiden sich in ihrer Ausrichtung. Die ISO-Standardfamilie bezieht sich auf Sicherheits-Management und fordert bereits dedizierte funktionale Überwachungsbereiche, um die Inhalte von Sicherheitsprogrammen festzulegen. Wie etwa:

  • personelle Sicherheit
  • physische Sicherheit und öffentliche Versorgungsdienste
  • Netz- und Betriebssicherheit
  • Zugriffskontrolle

Die ISO-Standards enthalten ebenso Anleitungen, welche Handlungsoptionen eine Organisation im jeweiligen Bereich hat. Bei der Zugriffskontrolle sind das beispielsweise Benutzerregistrierung, Passwort-Management, Authentifizierung oder Berechtigungsprüfung.

SABSA hingegen orientiert sich am Business. Es gliedert eine Organisation in verschiedene Ebenen auf, um deren jeweilige Anforderungen zu verstehen. Dadurch kann die IT-Sicherheit an den individuellen Geschäftsbedürfnissen und dem jeweiligen „Risikoappetit“ ausgerichtet werden. Das SABSA-Modell besteht aus sechs unterschiedlichen Ebenen. Jede für sich stellt eine andere Sichtweise auf das Unternehmen und damit auf die Arten von notwendigen Sicherheitskontrollen dar. Es basiert auf dem „Zachman-Framework“ und nutzt in Analogie hierzu die beiden Dimensionen Architekturebene und einfache  Fragepronomen. Jeder Architekturebene ist jeweils eine Rolle zugeordnet, die berücksichtigt werden muss.

Sechs Fragen für mehr Sicherheit

Mit den sechs nachfolgenden Fragen können die Verantwortlichen im Sicherheitsprogramm die Anforderungen der Stakeholder auf jeder Unternehmensebene ermitteln:

  • Was gilt es auf dieser Ebene schützen?
  • Warum soll es geschützt werden?
  • Wie lässt sich dieses Schutzziel erreichen?
  • Wer ist in der Umsetzung involviert, beziehungsweise welche Rollen sind relevant?
  • Wo soll diese Sicherheitsmaßnahme wirksam werden?
  • Wann soll diese Sicherheitsmaßnahme greifen?

Bei SABSA wird also der Fokus nicht auf funktionelle, individuelle Silos gelegt. Es wird nicht aufgelistet, was in jedem dieser Silos behandelt werden sollte. Der Ansatz ist vielmehr, alle Sicherheitsaspekte über die verschiedenen Ebenen hinweg zu betrachten. Am Beispiel der Zugriffskontrolle stellt sich dies wie folgt dar:

  • Kontextebene: Welche Geschäftsrisiken entstehen, wenn es keine Zugriffskontrolle gibt? Welche regulatorischen Anforderungen bezogen auf die Zugriffskontrolle sind notwendig? Welcher Grad der Zugriffskontrolle ist nötig, um die Geschäftsziele zu unterstützen?
  • Konzeptebene: Was sind die Ziele des Programms zur Einführung von Zugriffskontrollen?
  • Logische Sicherheitsarchitektur (u.a. Komponenten des Programms zur Umsetzung von Zugriffskontrolle wie z.B. Benutzerregistration und Passwortmanagement): Welche Bestandteile sind notwendig?
  • Physische Sicherheitsarchitektur (Prozesse und Spezifikationen des Zugriffskontrollprogramms): Welche Standards für Passworte müssen beachtet werden? Welche Schritte gibt es bei der Benutzerregistrierung?
  • Komponenten-Sicherheitsarchitektur (Produkte und Werkzeuge, die das Zugriffskontrollprogramm unterstützen): Welche Identity-Management-Produkte gibt es / müssen beschafft werden? Welche Monitoring-Werkzeuge sind zu berücksichtigen? 
  • Betriebssicht: Wie erfolgen beispielsweise die Wartung und die Benutzerunterstützung?

Ein Unternehmen, welches wissen will, was in einem Sicherheitsprogramm adressiert werden soll, startet am einfachsten mit der ISO-27000-Reihe. Diese gibt konkrete Aussagen zu den benötigten Bausteinen. Die meisten Unternehmen beginnen jedoch nicht auf der grünen Wiese und haben schon viele der in der ISO27k genannten Bestandteile eingeführt. Hier fehlt zumeist noch eine geeignete übergreifende Sicherheits-Governance, welche jedoch zwingend über alle Ebenen hinweg betrachtet werden sollte. Wenn folglich ein holistischer Ansatz gefragt ist, hilft das SABSA-Modell weiter. Gleichwohl dies für viele zunächst komplizierter erscheinen mag, führt dieser Ansatz zu einer Sicherheitsarchitektur, die sich aus den Geschäftsanforderungen begründet. Schlussendlich lässt sich zweifelsohne festhalten, sowohl die ISO27k-Familie als auch SABSA sind Rahmenwerke zur Unterstützung von Sicherheitsspezialisten. Beide sind zielführend, um einen sinnvollen Ansatz für das eigene Sicherheitsprogramm zu finden. Auch wenn mit beiden Ansätzen Aufwände verbunden sind: Es lohnt sich diese Herausforderung zu meistern, um das eigene Unternehmen – seine Daten und Assets – sicher zu schützen.


*Dr. Silvia Knittl ist IAM Solution Architect bei der Accessec GmbH

Bildquelle: Thinkstock/ iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok